Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Ulg cours 5 rh et securite
1. Sécurité de l’information :
un projet RH
Jacques Folon
Partner & GDPR Director
Edge Consulting
Maître de conférences
Université de Liège
Professeur
ICHEC Brussels Management School
Professeur invité
Université Saint Louis (BXL)
Université de Lorraine
ESC Rennes School of Business
3. EN quoi les RH concerne la sécurité de
l’information?
Gestion des données personelles et la
sécurité est une obligation légale !
Comment participer ensemble à la sécurité
de l’information et quel référentiel utiliser?
!3
4. «ISO 27002 c’est donner des recommandations pour
gérer la sécurité de l’information à l’intention de ceux
qui sont responsables de définir, d’implémenter ou de
maintenir la sécurité dans leur organisation.
Elle est conçue pour constituer une base commune de
développement de normes de sécurité organisationnelle
et de pratiques efficaces de gestion de la sécurité, et
pour introduire un niveau de confiance dans les
relations dans l’entreprise. »
6. !6
! Rappel:
! ISO est avant tout un recueil de bonnes
pratiques
! ISO 27002 est le fil rouge de la sécurité de
l’information
! Pas de proposition de solutions technique
! les autres départements sont concernés
! Et les RH dans tout ça?
9. Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre
en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites:
1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de
sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il
faut démarrer la démarche par une analyse des enjeux et des risques.
2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de
norme prend environ 5 ans. Dans le domaine des technologies de l'information,
les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement
que cela.
3.Enfin la troisième limite est son hétérogénéité, certains domaines sont trop
approfondis, d'autres survolés.).
Les limites d’ISO 27002
12. Résistance au changement
crainte du contrôle
Imposer ou convaincre ?
Positionnement du RSI et des RH
atteinte à l’activité économique
Culture d’entreprise et nationale
Besoins du business
les freins
21. 8 Sécurité liée aux ressources humaines
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités
8.1.2 Sélection
8.1.3 Conditions d’embauche
8.2 Pendant la durée du contrat
8.2.1 Responsabilités de la direction
8.2.2 Sensibilisation, qualification et formations en
matière de sécurité de l’information
8.2.3 Processus disciplinaire
8.3 Fin ou modification de contrat
8.3.1 Responsabilités en fin de contrat
8.3.2 Restitution des biens
8.3.3 Retrait des droits d’accès
36. !36
! Un nouvel employé qui arrive?
! Cinq personnes autour de la machine à café?
! Un chef qui hurle sur un employé?
! Une personne qui est licenciée?
! Un jeune qui veut tout changer?
38. !38
! Aspects principaux de la culture:
" La culture est partagée
" La culture est intangible
" La culture est confirmée par les
autres
23
Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management
39. Niveau et fonction de la Culture:
• la Culture existe à deux niveaux:
•Le côté visible et observable
immédiatement (habillement,
symboles, histoires, etc.)
•Le côté invisible qui véhicule les
valeurs, les croyances,etc.
•Fonctions de la culture
•Intégration
•Guide de fonctionnement
•Guide de communication
42. HISTOIRES
- basées sur des événements réels qui sont
racontées et partagées par les employés et
racontées aux nouveaux pour les informer au
sujet de l’organisation
- qui rendent vivantes les valeurs de
l’organisation
- qui parlent des “héros”, des légendes
-Le post it de 3M
-Le CEO d’IBM sans badge
-Le CEO de quick
46. !46
! Cela permet de comprendre ce qui se passe
! De prendre la « bonne décision »
! Parfois un frein au changement
! Perception de vivre avec d’autres qui partagent
les mêmes valeurs
! Point essentiel pour le recrutement et la
formation
50. !50
! Organigramme - réseaux
! Place du responsable de sécurité
! Rôle du responsable de sécurité dans le cadre
des RH
! La stratégie de recrutement et le rôle de la
sécurité
! Job description et sécurité
! Contrats
! Les contrats oubliés
63. ”No one knows everything,
everyone knows something,
all knowledge resides in humanity.” networks
Adapted from Lévy 1997
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14
64. Network structure affects performance
64
Barsh et al 2007, McK Quarterly
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14
74. !74
! Les consultants
! Les sous-traitants
! Les auditeurs
externes
! Les comptables
! Le personnel
d’entretien
75. !75
! Tests divers
! Interviews
! Assessment
! Avantages et inconvénients
! Et la sécurité dans tout ça?
! Et les sous traitants, consultants, etc.
76. !76
! Screening des CV
! Avant engagement
! Final check
! Antécédents
! Quid médias sociaux,
Facebook, googling,
etc?
! Tout est-il permis?
77. !77
! Responsabilité des
employés
! Règles tant pendant
qu’après le contrat
d’emploi ou de sous-
traitant
! Information vie privée
! Portables, gsm,…
94. VERS LE CONTREMAÎTRE
ELECTRONIQUE
• Contremaître traditionnel
– personne repérable, chargée de contrôler la présence physique du
salarié sur son lieu de travail et en activité
• Contremaître électronique
– chargé du contrôle de la présence physique : les badges d ’accès…
• Contremaître virtuel
– pouvant tout exploiter sans que le salarié en ait toujours conscience et
permettant, le cas échéant, d ’établir le profil professionnel,
intellectuel ou psychologique du salarié
➨ Développement des chartes d ’information
95. Les emails
• Ne sont pas de la correspondance
• L’employeur peut-il les ouvrir ?
• Emails privés avec adresse privée ?
• Emails privés avec adresse professionnelle
• Emails professionnels ?
169
96. Usage d’internet
• Que faire en cas d’usage illégal ?
• Crime (pédophilie, etc.) ?
• Racisme, sexisme?
• Atteinte au droit d’auteur?
• Criminalité informatique?
• Espionnage industriel ?
• Concurrence déloyale ?
170
99. Le code de conduite
• Activités illégales
• Activités non autorisées durant certaines
heures
• Activités autorisées avec modération
• Différence entre code de conduite et
application de la CC 81
171
100. Contrôle des employés : équilibre
• Protection de la vie
privée des travailleurs
ET
• Les prérogatives de
l’employeur tendant à
garantir le bon
déroulement du travail
101. CC 81
" Principe de finalité
" Principe de proportionnalité
" Information
" Individualisation
" sanctions
102. Les 4 finalités
1. Prévention de faits illégaux, de faits contraires aux
bonnes mœurs ou susceptibles de porter atteinte à la
dignité d’autrui
2. La protection des intérêts économiques, commerciaux
et financiers de l’entreprise auxquels est attaché un
caractère de confidentialité ainsi que la lutte contre
les pratiques contraires
3 La sécurité et/ou le fonctionnement technique de
l’ensemble des systèmes informatiques en réseau de
l’entreprise, en ce compris le contrôle des coûts y
afférents, ainsi que la protection physique des
installations de l’entreprise
4 Le respect de bonne foi des principes et règles
d’utilisation des technologies en réseau fixés dans
l’entreprise